瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 请求高手帮助,查看日志,,,,,
曦886 - 2008-6-11 11:25:00
近期我公司机器重了病毒,机器杀毒软件被关闭,系统时间被修改为2000年当前时间,网络用抓包工具看,有ARP攻击现象,该机器发包给局域 网其他IP地址(1-255),该机器冒充网关,网络内上网速度慢,或者连接不上,,,,,网络中断,,,,急  只能重装系统,好多台已经被格式化过,,求救,,,,,,,,,

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG(25.33).rar
天月来了 - 2008-6-11 11:35:00
看到不少木马群残余,可能你的单位所有电脑都没打这补丁。
http://bbs.ikaka.com/showtopic-8509685.aspx
—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项,将启动类型改为“Disabled”
==================================
服务
[Plug and Play Service / Plug and Play Service][Stopped/Auto Start]
  <C:\WINDOWS\system32\service.exe><N/A>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序
[0bec8428f08c641b / 0bec8428f08c641b][Stopped/Manual Start]
  <\??\C:\0bec8428f08c641b.dat><N/A>

[29e75640f68ae7c0 / 29e75640f68ae7c0][Stopped/Manual Start]
  <\??\C:\29e75640f68ae7c0.dat><N/A>

[6681b9d091ac993a / 6681b9d091ac993a][Stopped/Manual Start]
  <\??\C:\6681b9d091ac993a.dat><N/A>

[80f71f106dc24a7e / 80f71f106dc24a7e][Stopped/Manual Start]
  <\??\C:\80f71f106dc24a7e.dat><N/A>

[8ku1hi5 / 8ku1hi5][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\8ku1hi5.sys><N/A>

[9e7409c40a3fc8cc / 9e7409c40a3fc8cc][Stopped/Manual Start]
  <\??\C:\9e7409c40a3fc8cc.dat><N/A>

[b41123fced2b895a / b41123fced2b895a][Stopped/Manual Start]
  <\??\C:\b41123fced2b895a.dat><N/A>

[BdGuard / BdGuard][Running/Boot Start]
  <\SystemRoot\system32\drivers\BDGuard.SYS><>

[be364200aeeb9f27 / be364200aeeb9f27][Stopped/Manual Start]
  <\??\C:\be364200aeeb9f27.dat><N/A>

[c80db00c3871b443 / c80db00c3871b443][Stopped/Manual Start]
  <\??\C:\c80db00c3871b443.dat><N/A>

[e7f6c0449c3d8c4f / e7f6c0449c3d8c4f][Stopped/Manual Start]
  <\??\C:\e7f6c0449c3d8c4f.dat><N/A>

[hpnz / hpnz][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\hpnz.sys><N/A>
————————————————————————————————————
再重启电脑,反复检查,操作的结果,
升级杀毒软件至最新版本全盘杀毒。
杀毒软件如果有异常,可能需要卸载重装,升级至最新版本全盘杀。
记得打打系统漏洞补丁

这补丁很重要
http://bbs.ikaka.com/showtopic-8509685.aspx

部分工具的操作看这贴:http://bbs.ikaka.com/showtopic-8442813.aspx
曦886 - 2008-6-11 11:56:00


引用:
原帖由 天月来了 于 2008-6-11 11:35:00 发表
看到不少木马群残余,可能你的单位所有电脑都没打这补丁。
http://bbs.ikaka.com/showtopic-8509685.aspx
—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项,将启动类型改为“Disabled”
=================


附件是刚才那台机器,我用你给定下载的Windows清理助手查杀出7 个木马,见附件分析,,,谢谢

附件: SREngLOG1.rar
曦886 - 2008-6-11 12:04:00
:default15: X谢
曦886 - 2008-6-11 12:15:00


引用:
原帖由 天月来了 于 2008-6-11 11:35:00 发表
看到不少木马群残余,可能你的单位所有电脑都没打这补丁。
http://bbs.ikaka.com/showtopic-8509685.aspx
—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项,将启动类型改为“Disabled”
=================


天月你好! 我已经按你的意思使用SEND工具删除完了,请见附件与刚才机器同、一台机器,请看看附件 ,,,,谢

附件: SREngLOG12.13.rar
天月来了 - 2008-6-11 14:04:00
最后一个日志看不出什么了。
曦886 - 2008-6-11 15:17:00


引用:
原帖由 天月来了 于 2008-6-11 14:04:00 发表
最后一个日志看不出什么了。


那我其他机器如重了该病毒,我怎么判断他有其他感染病毒选项啊....?
曦886 - 2008-6-11 15:25:00


引用:
原帖由 天月来了 于 2008-6-11 14:04:00 发表
最后一个日志看不出什么了。



能否给我发个分析在SRENG工具抓的日志工具软件呢,我这里主要重改并蒂机器多,我不能每台机器来请教您,,,或详细赐教看使用SRENG工具抓的日志,知道那些是木马病毒,,,,谢谢
天月来了 - 2008-6-11 15:41:00
没有可靠的什么日志分析工具

你不至于以为我是靠分析工具分析你的日志的吧:default2:

纯经验和手工,眼看的耶!!!

一项一项看的哦:default2:

所以当有求助的不信任我时,我可很失望的哦:default6:


要不你试试这里看

看你耐心了咯:

http://bbs.ikaka.com/showtopic-8504098.aspx
曦886 - 2008-6-11 16:29:00


引用:
原帖由 天月来了 于 2008-6-11 15:41:00 发表
没有可靠的什么日志分析工具

你不至于以为我是靠分析工具分析你的日志的吧:default2:

纯经验和手工,眼看的耶!!!

一项一项看的哦:default2:

所以当有求助的不信任我时,我可很失望的哦:default6:


要不你试试这里看

看你耐心了咯:

[url=http://bbs.ikaka.com/showtopic-8504098.aspx



不是不信任你,,我是想让你高手指点,, 因为我的重改病毒机器比较多啊 ,,,,
曦886 - 2008-6-14 10:17:00
按天月的方法 问题已经解决,在此谢帮助过我的大虾,,,谢谢
1
查看完整版本: 请求高手帮助,查看日志,,,,,
© 2000 - 2026 Rising Corp. Ltd.